计算机安全技术培训范文
时间:2023-09-25 18:15:40
导语:如何才能写好一篇计算机安全技术培训,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
近些年来,作者在对计算机安全危害行为的调查中发现,危害行为具有技术性、隐密性、破坏性等特点,给很多计算机造成严重的破坏,尤其是对计算机数据的破坏更是存在不可恢复的严重后果,对此,必须做好计算机安全危害行为的防护对策。
1当前计算机安全危害的特点分析
1.1危害行为技术性较强
在计算机网络技术快速发展的过程中,对计算机的安全也应重视起来,及时发现并处理一些危害行为,才能确保计算机运行的安全性、可靠性。然而,就当前计算机安全危害的防范工作来看,由于危害行为技术性较强,使得一些计算机操作人员没有更高的技术解决这些危害行为,从而给计算机的使用造成一定的安全威胁。
1.2危害行为具有一定的隐秘性
众所周知,计算机在使用的过程中,会存储以及传输大量的数据信息,而在对这些数据进行处理的过程中,极易引发安全危害行为,为了确保计算机使用的安全性以及数据传输和存储的安全性,需要做好危害行为的防范工作。然而,现阶段计算机安全危害行为具有隐密性的特点,虽然对计算机采取了相应的安全防护措施,但是却很难发现这些较为隐秘的危害行为,尤其是在计算机出现安全漏洞的情况下,也给这些危害行为创造了更有利的入侵环境,从而对计算机安全造成极大的威胁。
1.3危害行为破坏性较强
一般情况下,计算机在使用的过程中,都会做一些安全防护措施,避免计算机使用过程中由于恶意的破坏而影响到计算机使用的安全。而在计算机安全防护措施实施之下,一些危害依旧发生,对计算机数据实施破坏、篡改、删除等攻击行为,破坏性极强,尤其是一些存储重要信息数据的计算机,在数据受到破坏的情况下,带来的后果不堪设想。
2计算机安全危害的处理对策分析
2.1完善计算机安全管理技术
通过以上的分析了解到,当前有很多计算机危害行为都具备较高的技术性,而在计算机安全管理技术不足的情况下,将很难阻止和消除这类的危害行为,对此,应不断的完善计算机安全管理技术。①要充分发挥出计算机安全技术的作用,做好对计算机设备的安全保障工作,同时,要加强对计算机网络安全的管理,并对当前使用的计算机进行全面的分析,对计算机系统的不足之处进行完善,例如,系统漏洞,要及时对其进行修复,避免非法人员利用系统漏洞来做出一些攻击行为。②应加大计算机安全技术的应用和研究,不断的提升安全技术的应用水平,以此来弥补当前计算机安全管理技术的不足,从而有效的保障计算机运行的安全性。③应对计算机操作人员进行安全技术培训,提升操作人员的安全操作水平,并在日常的使用中做好计算机安全危害行为的预防操作,进而能够有效的提升计算机运行的安全性。
2.2完善计算机防火墙技术
防火墙是计算机使用中的重要保护网,如果防火墙技术薄弱的话,很难发现隐密性较强的计算机危害行为,从而给计算机的正常运行构成一定的安全威胁,不利于计算机的安全运行,对此,应不断的完善计算机防火墙技术。以往人们在使用计算机的过程中,经常会忽略防火墙的应用,不及时对防火墙技术进行更新,在这种情况下,无法全面的发现潜在的危害行为,如,病毒、木马、蛀虫等程序代码,造成计算机在使用中遭受到攻击。因此,作者建议,在使用计算机的过程中,应将防火墙技术高度的重视起来,作为计算机安全系统的重要保护层,应在系统更新的过程中,不断的对防火墙技术进行更新和完善,这样才能及时有效的发现计算机深层的危害行为,并对其进行过滤处理,避免对计算机构成安全威胁,从而保证计算机使用的安全性。
2.3确保计算机网络环境的安全性
通过对计算机安全危害行为的分析,其危害行为主要通过网络进行入侵,对计算机内的数据信息实施破坏,因此,要避免计算机危害行为的入侵,需要确保计算机网络环境的安全性。①应保证计算机实体的安全,也就是计算机各个硬件设备的安全,尤其是数据存储设备,避免设备的损坏而造成数据丢失的现象。②应确保计算机在安全状态下运行,需要有专业人员进行操作,应避免非权限用户对计算机实施操作,以免给计算机系统的安全性造成影响,坚决避免随便插拔一些USB设备,这很可能会将其他计算机的病毒、木马以及蛀虫等危害程序带入到该计算机上,从而对计算机内的数据造成破坏。
3总结
篇2
随着央行计算机网络建设的不断深化,数据管理不断集中,特别是大额支付系统的上线、货币金银管理系统数据全国集中、账户管理系统数据集中处理、办公自动化系统的不断延伸以及个人征信系统的推广升级,计算机网络运行在基层央行的应用越来越广泛和重要。计算机广泛应用的同时,也因其自身的脆弱性而面临网络病毒更严重的威胁与攻击。最近笔者对人行___中支辖区内计算机防病毒工作进行了调查,发现了一些不足和隐患,亟需完善和改进。
一、基本情况
___中支所辖16个支行,包括银监分局在内,接入内联网的计算机共有712台。全辖科技工作人员共有21人,其中中支科技科5人,县支行共16人。各行都成立了以行领导任组长、各科(股)长为成员的计算机安全管理领导小组,分部门设立了计算机安全管理员,制定了计算机病毒防治管理制度,明确了病毒防治职责,并把计算机病毒防治工作纳入工作目标责任制考核之中。计算机安全管理领导小组定期对全行计算机安全管理进行检查、通报,科技人员定期对全行职工进行安全教育,做到了有组织、有领导、有制度、有措施。
二、存在问题
(一)全员病毒防范意识有待进一步提高。据随机抽查,基层行员工对计算机病毒防范意识不强,防病毒知识知之甚少,片面认为自己只是使用者,如果不故意传播,不会出现安全问题。
(二)操作人员安全防范意识薄弱,缺乏病毒防治相关知识。由于计算机安全知识培训只做了表面文章,没有真正起到应有的效果,即使搞了培训,也是注重操作系统学习,而忽视安全管理的教育。操作人员外出学习、培训,只重点学习系统的操作,对计算机病毒安全防范知识知之甚少,大部分使用人员不清楚计算机安全防范工作中应重点做好哪些工作,如调查中发现,某行为业务部门配备了一台计算机,用于网上学习,操作人员盲目删除了防病毒软件,出现了感染病毒不能杀除的结果,人为的“撤防”,造成计算机被病毒攻击事件,原因就是不懂得计算机防病毒安全知识,盲目使用造成的。还有的操作人员甚至连计算机下方的防病毒系统符号都不认识,更不用说进行查、杀毒和手动打操作系统补丁了。有些业务部门新配备的计算机不通知科技管理人员,也没有安装防病毒软件,直接接入内联网。还有的私自卸载了总行统一配置的防病毒软件,安装了自认为“方便”的其它防病毒软件,形成了新的风险点。
(三)科技人员专业素质不能适应计算机病毒防治工作需要。据调查,支行的计算机防病毒管理员大都没有经过专业的系统培训,没有取得专业证书。大多数管理员对防病毒软件工作原理不清楚,不了解防病毒软件配置,有些管理人员认为病毒防治工作只要打开防病毒服务器就万事大吉,病毒定义码是否自动升级、更新,各种操作系统补丁应打到哪一级并不清楚。同时,由于没有经过系统、全面培训,大部分管理员对防病毒服务器日常的监测和预警病毒疫情无法实现,无法分析出何为高风险事件、产生攻击事件是由何种病毒传播产生,更无法提出防病毒系统不能自动清除计算机病毒的解决办法,无法协调和解决本单位计算机病毒疫情高发期间的病毒防治与应急工作也就不足奇怪。
(四)部门计算机安全管理人员职责不清,科技人员顾此失彼。尽管各行都建立了计算机安全管理组织体系,但由于未明确部门计算机安全管理员和操作人员的职责,本该部门计算机安全员和操作人员做的工作,全部推给了科技人员,使得科技人员工作顾此失彼。同时,大部分支行没有专职科技人员,身兼多职,工作忙于应付,病毒防治很难落到实处。
(五)硬件设施投入不足,不能满足开展防病毒工作的需要。调查中发现,个别支行防病毒服务器内存仅有128M,难以适应服务器日常工作需要。
(六)技术防范手段滞后,难以起到主动防范的效果。目前人民银行内联网系统上安装的诺顿企业版防病毒系统(SYMANTEC)和入侵检测系统(IDS),虽然较好地解决了内联网防止计算机非法攻击和病毒入侵的问题,但这些均属于被动防范措施,并不能在技术上起到主动阻止病毒在内联网上传播的作用。特别是对当前新型病毒,尤其是“冲击波”、“震荡波”等网络病毒防范效果并不是很理想。其工作原理是按照“自上而下,逐级完成”的升级方式,从总行防病毒网站下载,先完成中支一级防病毒服务器版本升级,然后完成支行防病毒服务器版本升级,再逐一安装到用户的客户端,造成了补丁分发安装的严重滞后。由于防病毒软件总是落后于病毒发作,加之防病毒代码升级包由开发商到总行,再经过层层下发,造成了基层行防病毒代码总是要滞后开发商一周时间,为计算机的安全运行带来一定影响。这种方法有两个不足:一是安全更新时间较长,平均1台计算机按需要半个工作日进行分发、更新计算。二是手动分发、更新补丁不全,仍存在一定系统风险。
三、对策建议
(一)健全组织,切实发挥计算机安全管理领导组的作用。
在当前人民银行与银监分局共用一个网络的情况下,对计算机病毒防治管理要采取“预防为主、防治结合”的方针,建立的防病毒工作领导组,应在所有使用内联网的科室(包括银监分局)设立部门安全员,对人民银行内部科室要求的工作内容,也同样要扩大到银监分局内,解决计算机病毒防治的“盲区”,把计算机防病毒工作落到实处,真正实现人人讲安全、全员保安全。
(二)完善制度、明确职责。按照“谁使用、谁负责,谁主管、谁负责”的原则,实行计算机病毒防治管理责任制。充分发挥基层计算机防病毒管理员、安全员和计算机使用人的作用,明确各自责任。防病毒管理员的任务就是负责定期监测联网计算机病毒定义码的升级情况、扫描引擎和软件程序的分发和更新等日常技术保障和维护工作,对计算机病毒防治工作监督检查,向上级科技部门报告本单位计算机病毒防治情况,向业务部门提供技术支持,负责本单位连接内联网计算机的登记、监督,日常监测和预警本单位计算机病毒疫情,对防病毒系统不能自动清
除的计算机病毒,提出解决办法,并做好相应记录,指导和协助部门计算机安全员完成相应的补丁程序安装工作,并监督检查落实情况;部门计算机安全员负责监督检查本部门防病毒客户端软件运行情况,协助计算机用户完成补丁安装工作;计算机用户的职责就是及时检查所使用计算机客户端防病毒软件运行情况,及时主动使用所安装的客户端防病毒软件,定期全面检测和清除所使用的计算机客户端的计算机病毒,及时主动安装最新补丁程序,定期做好所使用计算机客户端重要数据备份工作。
(三)抓好三个方面教育,全力提高人员素质。1、进行法制教育,提高全员“防毒”意识。要将计算机信息安全教育和防病毒知识教育作为法制教育的核心,利用职工大会、宣传橱窗、法制图书、安全保密形势教育等形式对干部职工进行计算机防病毒知识教育,使大家充分认识到,做好计算机防病毒工作不仅仅是某一个人或者某一个行的事情,而是关系到整个人民银行系统网络安全的大事情,是关系到金融安全稳定运行的大事,从而提高员工的法律法规意识,使每个职工都能主动结合实际情况自觉做好计算机防病毒工作,做到从思想杜绝病毒侵入。2、抓好计算机防病毒基础知识教育。要采取各种不同的教育方式,对职工进行针对性的培训。充分利用专题讲座、开办职工夜校和网络教学等形式,对职工进行计算机信息安全技术教育,使职工能熟练安装和使用一般的安全工具(如自动更新杀毒软件、安装系统补丁),了解所操作计算机的配置、薄弱点和风险点,熟悉所操作计算机的风险防范措施及应急计划。知道预防计算机病毒的基本方法,如不使用与业务无关的外来软盘、光盘或其它外来存储介质,不安装与业务系统无关的程序等,在对计算机文件进行拷贝、运行等操作时,必须进行计算机病毒扫描,使日常的行为和操作上形成一道“防火墙”。3、提高计算机防病毒管理人员的专业素质。要着力挖掘现有人才的潜力,强化人才培训机制,通过安排专业人员参加专业技术培训,加强信息和技术交流,从理论和实践上更新科技人员的知识结构,提高技术水平、动手能力和总结、分析、解决问题能力。尤其是要学会利用现有防病毒服务器进行日常病毒防范的分析和研究。如通过对病毒日志的分析,发现辖内病毒发作的特点,进而提出解决的办法;通过对病毒类型的分析,区分出哪些属于文件型病毒,哪些属于软盘引导扇区病毒,哪些属于内存驻留病毒;按照诺顿服务器对病毒操作及结果分析,得出保留在隔离区中不操作的有多少次,隔离的多少次,清除的多少次,删除的多少次等。
篇3
【关键词】网络安全;现状分析;改进措施
互联网技术的高速发展改变了人们的生产与生活,促进了经济与社会发展进步,在取得显著成效的同时,信息技术安全是不容忽视的重要问题。不法分子甚至国外敌对势力、国家也雇佣网络黑客非法获取我国相关经济、社会乃至军事等方面的秘密信息,实现其不可告人的目的。回顾我国当前的互联网发展,和发达国家相比还有较大差距,虽然也重视了网络安全技术的开发与运用,但是受制于人才以及设备、技术等方面的因素,安全防护工作难以达到令人满意的程度。当前,互联网技术与设备更新换代的速度不断加快,病毒攻击防不胜防,国内互联网安全工作现状不尽如人意。本文主要针对当前常用的网络攻击技术以及网络安全工作进行分析研究。
1.目前常见网络攻击技术
在网络技术中,攻击方式具有多样化特征,并且网络攻击越来越自动化以及低技术门槛,下面简要阐述常见的网络攻击技术。
1.1 系统自身漏洞成为了攻击薄弱环节。任何一种运用软件以及操作系统,在逻辑设计过程中都会或多或少地存在着缺陷,这些系统自身存在的漏洞,极有可能成为间谍攻击的切入口,对计算机实施远程操控,将设备中存储的重要信息非法窃走。运用这一漏洞进行攻击的主要途径就是对口令实施攻击,破译口令内容进入计算机,或者绕开口令的验证程序直接进入计算机,控制计算机并窃取机密信息。为了弥补系统开发的漏洞,设计方通常会定期补丁程序对系统进行维护,提高安全系数,但是在实际工作中,部分用户没有能够及时对补丁程序进行运用,导致计算机系统漏洞暴露出来,给一些不法人员有可控之机,当前的网络扫描技术就能够对针对的计算机以及相关软件缺陷漏洞进行寻找。
1.2 口令过于简单易受攻击。在用户系统与网络系统安全设置中,密码是较为常用的方式之一,例如开机密码、用户名密码以及邮箱密码等,部分用户在密码设置上面没有引起重视,在开机与系统密码设置中未进行设置,一旦不法分子建立一个空连接,能够很容易远程侵入计算机,获取相关信息资料,安全缺少了一道屏障。也有的用户虽然设置了密码,但是较为简单,通常是由几个数字构成,难度过低,破译的可能性较大。研究显示,字母混合数字构成的综合性密码能够加大破解的难度,因此在密码设置上面尽量避免单纯的简单数字,以提高密码破解难度,提高系统与计算机安全系数。
1.3 木马程序里应外合窃取信息。木马属于一种远程控制软件,较为隐蔽,木马程序一般由木马和控守中心共同组成,通常还会增设跳板以对付安全人员的追踪。不法人员通过跳板实现木马与控守中心的联系,实现对目标计算机的控制,轻松窃取计算机密码、目录路径以及驱动器映射等,甚至个人通信信息也会被轻易窃取。对于装设视频和音频设备的计算机而言,不法分子还能够通过木马程序轻松获得相关语音和视频信息内容,个人私密一览无遗,各种机密信息如同曝光一般。部分使用者对于木马程序危害性认识不足,其能够借助于多种形式或者载体潜入计算机,网页浏览、邮件收发等环节容易被木马潜入。有的木马会采取伪装和隐藏的方式存在于计算机之中,这些运用隐藏技术的木马就能够这样轻松通过防火墙和操守中心进行通信,将各种信息轻松窃取。据权威部门调查显示,现在每年都有十几万台境外计算机通过木马程序对我国的计算机进行网络攻击,年受攻击计算机达到百万台以上,大量信息被不法窃取,造成了不可估量的损失,甚至危害国家安全。
1.4 网络嗅探设备窃取信息。网络嗅探设备俗称网络监听,借助于计算机网络共享通讯途径实施数据窃取,主要通过两种方式实现不法目标,第一种方式就是在网络连接设备以及其控制电脑上安装侦听工具软件,例如路由器等,实现监听目的;另一种是安设在个人电脑上对不安全的局域网实现侦听。不法分子一旦窃取了主机管理员权限,就能够轻松窃取全部局域网之内的相关数据,轻松入侵局域网内的各台设备。网络监听额软件的功能极其强大,账户密码、储存信息甚至聊天记录等,都可以轻松窃取。
1.5 “食肉动物”软件窃取电子邮件信息。美国情报部门成功开发研制出一种名为“食肉动物”的软件,其工作原理是在发件人发出邮件至收件人收到邮件之间的环节,进行邮件内容的窃取,是隐藏在邮件服务器中的一种极其强大的监视系统,对于经服务器收发的全部邮件进行监控,窃取其中的秘密信息或者有价值内容,是美国情报部门搜集电子邮件信息的重要途径,危害性极大,一旦通过电子邮件进行相关秘密信息的传送,泄密的几率极大。
1.6 “摆渡”病毒悄然窃取机密信息。“摆渡”病毒是美国情报部门与微软公司勾结的产物,属于一种系统的故意漏洞利用病毒,一般借助于移动存储设备进行信息的窃取。一旦移动存储设备感染这种病毒之后,与计算机进行连接时候,其自动按照设定的窃密程序将相关的秘密文件复制隐藏域移动存储设备,同一个移动存储设备一旦与上网计算机进行连接的时候,其藏的机密文件就能够被“摆渡”病毒移到这台计算机之中,不法分子能够通过远程操控的方式窃取该机密文件。
1.7 通过无线互联功能窃取秘密信息。现在无线上网功能的计算机以及级无线鼠标、键盘等设备,运用开放信号进行信息传输,保密性较差,能够被具有相同功能的设备获取器信息,加上了加密技术,一旦被破解之后,泄密也在所难免。例如现在许多计算机具有自动寻址与联网的功能,不需要外加模块就能够与同功能的笔记本电脑实现无线互联,一旦这台笔记本极其处理相关的秘密信息,很容易被其他计算机窃取机密。这样的设备一旦被作为终端接入网络之中,整个网络的信息安全性都得不到保障,在被其他计算机联通的状态下,机密信息能够被轻松获取。
2.网络攻击技术对网络安全的影响
在信息网络发展日新月异的背景下,完全杜绝因网络攻击泄密现象不太现实,唯有最大限度地采取防护措施,减少此类现象发生,最为重要的是对网络攻击技术进行分析研究,找准突破口,为网络安全增加保险系数。
2.1 网络攻击技术具有双面性。互联网具有开放与互联的特点,不可避免地产生跨国攻击获取机密现象,在积极防御相关网络攻击的同时,促进了自身网络安全技术的研究,只有不断提升和改进现有的防护软件与设备,才能够在攻击与反攻击这场网络不见硝烟的战争中打赢,对于提高计算机技术自主知识产权具有积极影响。
2.2 网络攻击加速了技术发展。正式由于网络攻击行为与技术的存在,并且越来越厉害,才对计算机生产商以及网络技术研究单位产生了强劲的动力,促使他们与时俱进地改进自己的产品,提高设备以及网络的安全性能。网络攻击技术的发展带来了反网络攻击技术的同步发展,造就了计算机安全产业,对于整个互联网技术的发展与进步具有积极意义。不法分子借助于网络攻击技术寻找网络与设备的薄弱环节进行攻击,获取机密信息,管理防御人员也可以从网络攻击行为中判定系统存在的漏洞环节,予以针对性升级改进,进一步提高网络安全性能,在不断的攻击、防御和改进循环中提升网络安全系数。
2.3 网络攻击技术能够服务国家安全。在信息化程度不断提高的背景下,网络安全对于国家经济发展意义重大,对于整个国家经济与国防安全具有不可估量的重要性。在未来的信息战之中,我国应当强化对网络攻击行为的防御力度,同时也要能够研制和设计出反攻击技术手段,提高预警、防卫以及反击的能力,提高信息防御以及恢复能力。
3.提高网络攻击防卫能力的措施
3.1 加大软件研发力度。针对当前出现的各种网络攻击行为,国家安全部门以及信息研发机构要强化软件研发力度,变被动为主动,开发研制各种防御性软件技术。同时,要立足于网络攻击的环节、特点,开展针对性的研究工作,提高网络防御研究的针对性,还要具有研究的前瞻性,针对可能出现攻击的薄弱环节进行超前研究,防患于未然。
3.2 完善网络安全管理。要进一步完善计算机与网络管理的制度,强化主动预防,凡是计算机均要严格按照物理隔绝以及网络防御要求落实到位。凡是补丁程序要及时安装,提高计算机系统的防御水平,要借助于网络安全管理制度的落实来提高安全管理水平。
3.3 强化人员技术培训。要对相关计算机操作使用岗位的人员进行防网络攻击专门业务培训,对于不同类型、级别的计算机防网络攻击工作,实施相应的培训,同时要开展防御知识普及工作,提高全民防网络攻击意识与能力水平。
综上所述,在当前信息化社会背景下,网络攻击行为不可避免,国内相关机构与群众应当提高防御意识,掌握基本技术与手段,保护好信息安全,将因信息失密造成的损失降到最低。
参考文献
[1]黄慧,陈闳中.针对黑客攻击的预防措施[J].计算机安全,2005(09).
[2]王丽辉.网络安全及相关技术[J].吉林农业科技学院学报,2005(02).
[3]何万敏.网络信息安全与防范技术[J].甘肃农业,2005(01).
[4]张先红,编著.数字签名原理及技术[M].机械工业出版社,2004.
篇4
近年来,随着计算机技术的快速发展,人们的衣、食、住、行都与网络息息相关。信息化为人们的生产生活带来极大的便利,与此同时,计算机和网络也存在较多的安全隐患,影响着人们的信息安全。本文从计算机及网络的管理与安全防护出发,先阐述了计算机及网络安全,然后分析了计算机及网络管理中存在的问题,最后提出了加强计算机及网络安全防护的具体措施。
【关键词】计算机 安全防护 管理 网络
1 计算机及网络安全
所谓计算机及网络安全,它指的是人们通过监控网络管理的手段,或者是采取相关的安全防护技术方法,保证某一个网络环境中,用户数据保持完整,且用户的隐私可以得到有效的保护,避免信息泄露现象的发生。总的来说,计算机及网络安全包括两个方面的内容,一方面是物理安全,即计算机系统设备及相关的设施可以得到良好保护,从而不被损坏;另一方面是逻辑安全,即保障计算机及网络上的信息完整,具有良好的保密性能。
2 计算机及网络管理中存在的问题
就目前情况来看,计算机及网络管理中还存在一些问题,从而影响了网络信息安全,总体说来,可以归纳成以下两种。
2.1 计算机自身因素
计算机及网络的媒介就是计算机,但是计算机自身存在一些问题,给计算机安全埋下隐患,主要表现在以下三个方面。其一,计算机具有开放性特点,那么计算机在进行信息储存、处理、传输等过程中,极容易受到不安全因素的干扰,从而导致信息泄密。其二,通信协议方面的问题。目前计算机通信协议上存在较多的漏洞,从而给那些网络攻击者以可乘之机,给计算机运行埋下安全隐患。其三,计算机操作系统方面的问题。从计算机操作系统按安全情况来看,现状还比较令人担忧,存在访问控制混乱、安全违规操作等方面的问题,这些都给计算机及网络管理带来严重的威胁。
2.2 人为因素
影响计算机及网络安全的因素,除了计算机自身的原因之外,还有一部分原因是人为因素造成的,主要表现在以下几个方面。第一,计算机及网络管理者缺乏安全意识,很多人的网络信息安全意识比较薄弱,或者是根本没有意识到信息网络存在的威胁,存在侥幸心理,认为没有必要采取安全防护措施。第二,网络黑客的恶意攻击。社会上目前存在很多的黑客,他们运用各种计算机病毒、技术手段等对计算机及网络进行攻击,或是非法访问、窃取、篡改计算机信息,或是造成网络通信系统瘫痪等,这些都使得计算机及网络的安全受到严重威胁。
3 加强计算机及网络安全防护的具体措施
计算机及网络安全威胁会严重影响用户的信息安全。因此,人们必须要采取有力的措施加以解决,具体来讲,可以从以下几个方面着手解决。
3.1 提高人们的计算机及网络安全意识
人们在使用计算机及网络时,一定要提高认识,意识到计算机及网络中潜在的多种威胁,在平时的操作中提高警惕,养成良好的上网习惯。比如在平时使用计算机和网络的过程中,不随意打开来历不明的邮件、不浏览不正规网站等;平时养成良好的病毒查杀习惯,防止某些计算机病毒利用漏洞来攻击电脑,带来不必要的麻烦。这里需要有关人员加强宣传。比如在企业中,领导要加强员工的安全意识,举办信息安全技术培训,向大家介绍计算机及网络安全的重要性,避免侥幸心理,确保信息安全。
3.2 运用多种技术手段
为了进一步加强计算机及网络管理和安全防护,必须要采取多种技术手段,确保信息安全,具体来讲,可以充分运用以下两种计算机及网络安全技术。
3.2.1 防火墙技术
防火墙技术是目前大家比较常用的一种计算机及网络安全防护技术,它的实现手段非常灵活,既可以通过软件来实现,又可以借助硬件来完成,还可以将硬件和软件有机结合起来达到有效保护计算机及网络安全的目的。
3.2.2 网络入侵检测技术
计算机及网络中存在很多的网络入侵行为,造成计算机信息泄露。针对这种行为,人们就可以充分运用网络入侵检测技术,有效保障计算机及网络安全。这种技术一般又称作网络实时监控技术,主要是通过相关软件(或者硬件)对被保护的网络数据流进行实时检查,然后将检查的结果与系统中的入侵特征数据进行比对,如果发现两者的结果一致,则存在计算机及网络被攻击的迹象,这时候计算机就会参照用户所定义的相关操作作出反应,比如马上切断网络连接,防止计算机病毒的传播;或者是直接通知安装在计算机上的防火墙系统,调整计算机访问控制策略,过滤掉那些被入侵的数据包等,从而有效保证计算机及网络的安全。因此,人们可以通过采用网络入侵检测技术,可以有效识别网络上的入侵行为,然后采取相关措施加以解决。
此外,人们还可以运用数据加密技术、黑客诱骗技术、网络安全扫描技术等,从而有效保障计算机及网络安全。
4 结束语
综上所述,计算机及网络管理中存在一些问题,既有计算机自身方面的因素存在,也存在很多人为因素。为了有效保障计算机及网络安全,人们必须要提高计算机及网络安全防护意识,进一步加强制度建设,综合运用多种技术手段,营造良好的网络环境,保证计算机技术的良好发展。
参考文献
[1]特日格乐,张善勇.计算机网络的安全防护分析及发展研究[J].内蒙古科技与经济,2012(22).
[2]杨光,孙洋,王磊,吴冰.计算机及网络的管理与安全防护[J].内蒙古林业调查设计,2013(02).
[3]杨年辉.探讨现阶段计算机网络管理与安全技术[J].电子制作,2014(01).
作者简介
李克锋(1980-),男,河南省镇平县人。助讲,大学本科学历。研究方向为硬件维护、软件应用及网络。
篇5
一、合作单位基本情况及合作背景
武汉汇通时代信息技术有限公司(以下简称汇通时代)成立于2000年,具备了为客户提供从方案咨询设计、工程实施、技术支持、维保服务、人员培训等全方位支持能力,本地化的快捷服务与强有力的技术团队的结合得到了客户广泛认可,多年来公司凭借专业的技术和良好的服务在政府、金融、大中型企业、院校、医疗、电力、电信、石油、石化等行业客户中赢得了良好的声誉。
公司拥有大量的网络、服务器、存储等高、中、低端备机,可为高端客户随时提供“灾备”、紧急救援、备件更换及维修等服务。同时公司还向客户提供IT系统评估和优化等高端现场咨询服务。在更高层面的IT管理系统上,公司可以提供自己研发的国际上技术领先的ROCS及CTS产品,可根据客户的需要提供全面的系统管理产品,帮助客户在应用和管理上更上一层楼。
在技术培训方面,公司的培训部能够提供全面的与网络建设和网络管理相关的全套培训,使得客户的业务水平与网络建设、网络使用、网络管理达到最好的匹配。
二、合作单位关键需求
1. 开拓网络安全产品市场的需求
目前,汇通时代要以提供一揽子的网络设备解决方案为其主要业务,同时辅以提供业务管理系统的业务。近年来,网络安全事故频发。其中不乏有一些大型的网站安全事故,如2011年的美国花旗银行被黑客侵入,21万北美地区银行卡用户的姓名、账户、电子邮箱等信息或遭泄露。WEB技术的广泛应用更将网络安全的问题推到风口浪尖。近年来,互联网渗透率持续提高,互联网商务化趋势明显,而信息安全形势的不断恶化使得企业对于信息安全的投入意愿加强,纷纷将网络和计算机安全提上日程,也使得行业发展面临前所未有的机遇。为此,汇通时代计划拓展已有的产品线,为客户提供与原有硬件设备可以无缝对接的协同安全系统产品线。
2.对新兴网络安全技术的跟踪需求
当前,正是由于企业正面临着比过去更复杂的安全威胁,除传统的黑客攻击、病毒传播之外,利用系统漏洞、兼具黑客和病毒特征的蠕虫,也越来越难以防范。传统的安全技术及产品通常只能防御单一威胁。因此,在单一的硬件平台下,集成多种安全防护手段的产品,逐渐受到广泛的重视。正是基于以上原因,在开展产品拓展计划之前,汇通时代希望能系统搜集国内国外已处于应用中的各类网络安全技术及其研究报告。同时,互联网的发展永远有着不可预知性。没有人能够预料互联网十年的发展。如云技术、统一通信技术、无边界网络的蓬勃发展, 都决定了本产品拓展计划必须保持对新兴技术的高度关注与持续跟踪。
三、解决方案及实施计划
1. 文献检索范围:
国内数据库及部分网上资源:
数据库名称 文档号 年限
中国学术会议论文数据库 CACP 1986-2013
中国重大科技成果数据库 ZDCG 1981-2013
中国学位论文数据库 CDDB 1989-2013
中国公司企业产品数据库 CECDB 2013年版
国家级新产品数据库 XCP 2013年版
中文科技期刊数据库 1989-2013
中国期刊全文数据库 CNKI 1979-2013
中国科技经济新闻数据库 1992-2013
中国专利数据库 1985-2013
国家科技成果网
科学引文索引 SCI 1999-2013
美国计算机学会(ACM)电子期刊及会议录
国研网专题数据库
中国企业产品库 INSPEC 1898-2013
2. 检索策略
(1)主题=(网络安全 OR 网络安全产品) AND 技术
(2)主题= 防火墙 OR 安全路由器 OR 虚拟专用网(VPN) OR 安全服务器 OR CA OR PKI OR 用户认证 OR 入侵检测(IDS) OR 安全操作系统 OR 安全数据库 OR 安全管理中心
四、项目预期成果
1.特色与创新之处
(1) 首次利用图书馆信息检索的专业优势,尝试为企业生产运营中的问题提供专业的解决思路与参考咨询;
(2) 综合利用各类数据库,涵盖国内著名数据库与国外知名相关数据库,提供综合性的检索结果,制定合理的检索式,确保检全率与检准率;
(3) 拓展了图书馆的工作范围与工作思路,引领图书馆工作开始走出去。
2.成果形式
咨询报告:《网络安全产品技术跟踪报告》
3.实施范围、受益对象
实施范围为国内外检索查新,受益对象为武汉汇通时代信息技术有限公司,助其解决拓展新产品线中的技术开发问题。
篇6
关键词:计算机网络;信息安全;对策
一、威胁计算机网络信息安全的主要因素
国际标准化委员会关于网络安全的定义是:“为数据处理系统而采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。”从当前网络信息安全的状况看,威胁计算机网络信息安全的主要因素是自然、人为和技术三方面的因素。
1、自然因素
作为一个精密的智能系统,计算机网络具有分布域广、体系结构开放、信息共享、信道共用等特点,通过光缆传输向不同地域的计算机终端传递信息。因此自然环境对计算机网络信息的安全影响较大,诸如风灾、水灾、雪灾、地震、雷电等自然灾害以及意外事故都可能对计算机网络产生毁灭性的打击,导致信号系统或计算机瘫痪,强电、磁场也会对数据信息产生严重干扰。由于大多数计算机房在水火雷电、电磁泄漏或干扰等方面缺乏周到地设计,因此对自然灾害的防范能力较弱。
2、人为因素
计算机网络信息安全的威胁因素,很大程度上来自人为的原因。计算机网络本身的缺陷,以及计算机管理员安全意识薄弱,口令的设置不当,账号共享或操作错误都会形成安全漏洞,威胁网络安全。尤其是黑客的攻击,通过病毒、木马等程序对用户电脑实施恶意攻击,窃取重要机密信息,或瘫痪用户计算机,使重要数据信息丢失,构成计算机网络信息安全的最大威胁。
3、技术因素
人为的因素是计算机网络信息安全受到威胁的最大因素,这既是人的道德自律的问题,更是技术层面的问题。随着技术的不断发展进步,网络软件、病毒程序、垃圾邮件等都可能成为计算机犯罪的工具。计算机病毒是计算机系统中的灰色幽灵,它的严重危害是损坏文件、瘫痪系统,甚至损坏计算机硬件。网络软件中的间谍软件一旦侵入用户计算机,就成为监视用户行为、威胁用户隐私和计算机安全的工具,很难被用户察觉,即使发现隐秘信息被浏览或下载也很难寻觅其踪影。而且,网络软件的编程人员方便后期维护设置的“后门”,往往是熟悉计算机系统和网络脆弱性的黑客首选的攻击路径。他们采用各式攻击手段非法入侵用户政府部门或个人计算机系统,实施盗窃、篡改信息甚至进行诈骗、金融犯罪。这种犯罪依凭的工具,就是计算机网络技术。所以说计算机信息技术是一把双刃剑,既给人们带来工作生活便利的同时,也带来网络信息安全的问题。
二、计算机网络信息安全的对策
1、加强计算机网络信息安全管理
从法律层面看,计算机网络信息的安全需要通过依靠立法来保证,这是世界各国的普遍共识。加强和完善信息网络安全的相关法律,对计算机犯罪实施有效地打击和严惩,才能使计算机网络信息安全得到保障。它的安全防范工作,是一个涉及学科和多领域的系统工程,不仅有技术层面的要求,也与管理水平息息相关。
从制度层面看,计算机网络信息的安全必须制定系统完善的管理制度,包括安全管理等级和范围、网络使用规定、网络系统的维护、网络事故应急预案、机房管理规定、网络监控、技术安全等制度,并落实责任人,确保网络安全地运行,净化网络环境。
2、构建计算机网络信息安全防护体系
计算机网络信息安全的保障是构建强有力的安全防护体系,其主要内容包括到防火墙、杀毒软件、漏洞扫描系统、入侵检测系统、网络监测系统等。
(1)防火墙
作为一种行之有效的访问控制尺度,防火墙是第一屏障,能够防止网络威胁因素进入局域网内部,在一定程度上制约了陌生用户与数据访问。防火墙的功能,是对通过它的数据信息进行记录和过滤,对访问行为进行控制或阻断,网络攻击的监测和告警。
(2)防毒软件
病毒是计算机网络安全的常见威胁因素。在网络环境下,应安装适合个人计算机或局域网的全方位杀毒防毒软件,这是目前使用最普遍、最广泛的安全技术,通过及时升级病毒库,可以有效地清除隐藏在系统中的病毒或抵御木马程序的攻击。
(3)漏洞扫描系统
所谓百密而有一疏,即使是最为先进的计算机网络系统,也有其脆弱点,形成易受攻击的漏洞而成为安全隐患,仅凭人的技术和经验很难防范。因此,漏洞扫描系统就成为问题的解决方案,通过它自动查找网络安全漏洞,形成评估数据,为技术人员优化系统配置和设计补丁程序提供依据,从而消除安全隐患。
(4) 入侵检测系统
设计入侵检测技术系统的目的就是为了能及时发现和报告系统中未授权或异常现象,是一种专门用于检测计算机网络中违反安全策略行为的技术,从而保障计算机系统的安全。在局域网中,采用基于网络和基于主机的混合入侵检测系统是较为理想的选择,因为这种混合能构成一套完整立体的主动防御体系。
(5)网络监测系统
网络监测系统的对象是web、BBS、Email服务器,实时跟踪,监控因特网信息,还原成完整的www、Email、Telnet、FTP应用的内容并建立数据库,及时发现非法信息内容,向上级安全网管中心发送报告,以便采取反制手段或者措施。
3、重视计算机网络信息技术人才的培养
计算机网络信息安全人才是确保网络信息安全的重要力量。在实际工作中,应重视技术人员的培训,通过定期的思想教育和职业技术培训,以提高安全意识,增强工作责任心,不断提高技术人员的思想素质、技术素质和职业道德,打造一支善于网络信息安全管理、网络信息监控、网络技术科研的专业人才队伍,形成网络精英团队,为计算机网络信息安全提供强大的技术支持。
[参考文献]
[1]张小磊计算机病毒诊断与防治[M]北京:中国环境科学出版社,2005
[2]戴英侠.计算机网络安全[M]清华大学出版社
[3]彭秀芬,徐宁全防护分析[J] 网络安全,2006,(12)
篇7
1.硬件威胁。计算机网络安全的影响因素有一些是来自硬件的,如,组成计算机网络的服务器,线路等设备不具有抗辐射、防火、防寒的功能。由于硬件是计算机网络的载体,一旦硬件系统受到破坏,计算机网络的使用则会受到极大的限制,甚至导致整个网络系统不复存在。
2.系统自身问题。必须承认,任何操作系统都不可能完全排除安全漏洞,如,现在流行的操作系统windows,unix等本身就存在安全漏洞。操作系统的安全漏洞不易被发现,而一旦发现这些安全漏洞,进行系统修复则是一个漫长而又具有技术性的工作。黑客就是利用这些操作系统本身的安全漏洞来侵入系统;有时硬件的配置不协调也会导致网络运行的质量;再有就是网卡选配不当,也会导致网络不稳定,缺乏安全策略。这就无意中扩大了访问权限,这些权限就可能被他人所利用。
3.内部局域网用户的威胁。实际上,内部局域网的威胁远大于外部网的安全威胁,由于内网使用者缺乏安全意识,在访问网络或信息通信时,缺乏安全意识,如,在使用公共计算机时,随意把个人信息告知他人或用户账号和密码的设置过于简单等,都会造成个人信息的泄露;再如,在软件开发的过程中,由于开发者的失误或不注意,会造成软件的安全存在漏洞,一旦此类软件遭受到病毒的感染或被网络黑客控制,就会对计算机网络安全造成威胁,形成局域网内部漏洞。最终导致黑客或病毒通过一台计算机进入内部网络来实现控制:破坏文件,盗取资料,甚至是使内部网络瘫痪。如,当今流行的arp攻击,它是一台电脑中毒,中毒以后攻击局域网内部的其他电脑。arp欺骗木马只需成功感染一台计算机,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外,还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易,盗窃网上银行账号来做非法交易活动等,这是木马的惯用伎俩,给用户造成了很大的不便甚至是巨大的经济损失。
4.缺乏有效的监视手段来评估网络系统的安全。完整而且能够准确地评估自身的计算机安全性,并作出有效的防范,要保障安全策略的实施,及时发现和解决问题,是一种非常有效的提高网络安全的办法。当发现系统漏洞时,要及时进行更新,发现运行出现不正常,及时进行检查,这样才能有效地防范于未然。然而我们的安全工具的更新速度很慢,一般都是发现该攻击或该病毒后才会研究对应的办法,而又需要一段时间,根本来不及挽回已经造成的损失。而一个问题解决后,又可能出现其他的安全问题,因此,安全工具不知道何时又会有其他的问题出现,所以就目前情况来看缺乏有效的监视手段。
5.计算机病毒。计算机病毒的威胁也是常见的网络安全行为,它是一些人为了达到某种目的而编写出来的一段计算机程序。计算机病毒通常具有极快的传播速度与难以被删除的特点。因此一旦计算机感染上病毒,通常会导致计算机功能遭到破坏,例如数据的损坏、信息的丢失等,并且随着计算机病毒的不断发展,计算机病毒也呈现出一种可自我进化,感染方式多样化等特点。所以说计算机病毒也是威胁计算机网络安全的一个重要因素。
6.黑客的攻击手段也在不断更新。可以说相比于计算机病毒,黑客对于计算机网络安全的危害更为严重。因为黑客对计算机网络的攻击有着明确的目的性,是根据特定的需要来进行信息的破坏、利用与窃取,并且这种信息的破坏、利用与窃取通常伴随着相当高的隐蔽性,造成的损失难以估量的。所以虽说我们在不断地更新各种杀毒软件,不断地修复系统的漏洞,但黑客也在不断地研究新的病毒,改进新的手段,成为造成计算机网络安全隐患的重要因素。
二、计算机网络安全的防范措施
既然如此,我们就应该做好计算机网络安全防范措施,做到防患于未然,尽量减小因网络安全导致的损失。主要措施如下。
1.对网络内部用户的网络安全防范意识进行提升教育,使用户意识到网络安全的重要性。给每台计算机安装杀毒软件,使每台计算机都可以自动进行杀毒,并且养成定期杀毒的习惯,对他人拿来的u盘、移动硬盘必须进行查杀后才可使用。这是在防病毒的过程中,最经济也是最实惠的方法。
2.使用网络防火墙。网络防火墙可以加强网络之间的访问控制,阻止他人非法从外部网络进入内部网络,获取网络内部资源,使重要资料流失。防火墙是目前对黑客的主要防范措施,但是防火墙不能完全防止已经被感染的用户,对内部有泄密者也不能进行有效地防范。因此,大力发展网络防火墙保护技术,一方面在保障其原有作用的前提下,另一方面应探索如何对于网内用户进行有效的保护。从而更有效地利用防火墙技术来保护计算机网络安全。
3.可以在计算机网络添加物理防火墙,对外部攻击和非法数据进行监测,对内部病毒的攻击进行有效的防护,使用物理防火墙能有效地控制外部数据的安全,有效地保护内部网络。
4.定期对操作系统进行备份,在使用计算机的过程中,如果有重要资料,要进行备份,对操作系统也要做原始备份,如果计算机一旦中毒,可以对操作系统和重要数据进行恢复,能够避免失去重要数据。
5.定期进行系统漏洞的扫描与修补。及时下载系统补丁,修补计算机漏洞,对数据端口进行有效地防护。
6.大力发展计算机加密技术加密技术伴随着计算机网络的生成而逐步发展,是保障计算机网络安全最重要的技术手段。其原理为将原有的信息资源通过算法转换成不可读且无意义的密文信息,接收用户需要通过特定的解密钥匙才能将信息转化成明文。目前,计算机的加密技术主要通过两种形式得以实现:一方面是信息加密,即利用有效的算法对重要的信息、程序与文件进行加密锁定,从而达到防止信息泄漏的目的;另一方面则是对互联网的信息传输协议进行加密,此类信息协议大多采用复杂的算法来保障信息的安全,以达到防止电脑病毒的感染与电脑黑客的窃取与篡改,进而保证计算机网络的通畅与安全。
三、总结
篇8
关键词:计算机网络;安全隐患;防范
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2012) 07-0000-02
计算机网络在我国已经迅速普及,网络己经渗透到国民经济的各个领域,渗透到我们工作生活的方方面面。在短短的几年中,发生了多起针对、利用计算机网络进行犯罪的案件,给国家、企业和个人造成了重人的经济损失和危害。特别是具有行业特性的犯罪,例如金融部门等,更是令人触目惊心。因此,探讨计算机网络安全隐患与防范策略显得十分必要。
一、计算机网络安全隐患分析
(一)恶意攻击
恶意攻击分为主动攻击和被动攻击,它是一种人为的、蓄意的破坏行为,是计算机网络所面临的最大威胁之一。其中,主动攻击是以破坏对方的网络和信息为主要目的,通常采用修改、删除、伪造、欺骗、病毒、逻辑炸弹等手段,一旦获得成功可破坏对方网络系统的正常运行,甚至导致整个系统的瘫痪。而被动攻击以获取对方信息为目标,通常在对方不知情的情况下窃取对方的机密信息,例如商贸秘密、工程计划、投标标底、个人资料等,但是不破坏系统的正常运行。不论是主动攻击,还是被动攻击都可能对计算机网络造成极大的危害,并导致一些机密数据的泄漏,从而造成不可弥补的损失。因此,必须采取一些必要的防范措施。
(二)软件漏洞和后门
软件漏洞分为两种:一种是蓄意制造的漏洞,是系统设计者为日后控制系统或窃取信息而故意设计的漏洞;另一种是无意制造的漏洞,是系统设计者由于疏忽或其它技术原因而留下的漏洞。因为这些漏洞的存在从而给网路带来了一定的安全隐患。例如:为了给系统开发人员提供的便捷的入口,从而不设置操作系统的入口密码,给开发人员的通道也成了“黑客”们的通道;操作系统运行时,一些系统进程总在等待一些条件的出现,一旦有满足要求的条件出现,程序便继续运行下去,这都是“黑客”可以利用的。另外,程序员为了方便自己而设置的一些软件后门,虽然一般不为外人所知,但一旦泄漏出去或被他人发现,极有可能带来危害更是极大和损失。
二、计算机网络安全防范策略
(一)防火墙技术
根据CNCERT/CC调查显示,在各类网络安全技术使用中,防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜,易安装,并可在线升级等特点。防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。因而防火墙的主要作用是定义了唯一的一个瓶颈,通过它就可以把未授权用户排除到受保护的网络外,禁止脆弱的服务进入或离开网络,防止各种IP盗用和路由攻击,同时还可以提供必要的服务。
(二)RSA算法
在公钥密码系统中,最常用的就是RSA算法了,RSA算法是第一个既能用于数据加密也能用于数字签名的算法,易于理解和操作,也很流行。算法的名字以发明者的名字命名:Ron Rivest, Adi Shamir 和Leonard Adleman。但RSA的安全性一直未能得到理论上的证明。它经历了各种攻击,至今未被完全攻破。
RSA算法简单的说来是这样的:先找出两个非常大的质数P和Q,算出N=(P*Q),找到一个小于N的E,使E和(P-1)*(Q-1)互质。算出数D,使D*E=1 MOD (P-1)*(Q-1)。公用密钥为(E,N),私钥为(D,N),用户可以销毁P和Q。这种算法的保密性非常好。但是由于RSA涉及到高次幂运算,所以用它实现速度比较慢。
(三)数字化身份的确定――数字证书
下面,让我们再来看一下JAVA安全中确定身份的主要技术――数字证书。
数字证书就是标志网络用户身份信息的一系列数据,用来在网络通讯中识别通讯各方的身份,即要在Internet上解决"我是谁"的问题,就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样,以表明我们的身份或某种资格。
数字证书是由权威公正的第三方机构即CA中心签发的,以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性,签名信息的不可否认性,从而保障网络应用的安全性。
数字证书采用公钥密码体制,即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥(私钥),用它进行解密和签名;同时拥有一把公共密钥(公钥)并可以对外公开,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样,信息就可以安全无误地到达目的地了,即使被第三方截获,由于没有相应的私钥,也无法进行解密。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种就是上面已经探讨过的RSA体制。
数字证书可用于:发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等网上安全电子事务处理和安全电子交易活动。
数字证书的格式一般采用X.509国际标准。目前,数字证书主要分为安全电子邮件证书、个人和企业身份证书、服务器证书以及代码签名证书等几种类型证书。
(四)入侵检测技术的应用
入侵检测系统(Intrusion Detection System 简称IDS)是从多种计算机系统及网络系统中收集信息,再通过这此信息分析入侵特征的网络安全系统。IDS被认为是防火墙之后的第二道安全闸门,它能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击;在入侵攻击过程中,能减少入侵攻击所造成的损失;在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入策略集中,增强系统的防范能力,避免系统再次受到同类型的入侵。入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
(五)提高网络工作人员的素质,强化网络安全责任
提高网络工作人员的管理素质也是一项重要的任务。对工作人员要结合硬件、软件、数据等网络系统各方面进行安全教育,提高工作人员的责任心,并加强业务技术培训,提高操作技能,重视网络系统的安全管理,防止人为事故的发生。在我国,网络研究起步较晚,网络安全技术还有待提高和发展。另外,为了确保网络的安全运行,我们还要建立严密的管理制度,制定完善的管理措施,提高人们对网络安全的认识,完善法律、法规,对计算机犯罪进行法律制裁。
(六)访问与控制
授权控制不同用户对信息资源的访问权限,即哪些用户可访问哪些资源以及可访问的用户各自具有的权限。对网络的访问与控制进行技术处理是维护系统运行安全、保护系统资源的一项重要技术,也是对付黑客的关键手段。
(七)重视备份与恢复
备份系统应该是全方位的、多层次的。首先,要使用硬件设备来防止硬件故障;如果由于软件故障或人为误操作造成了数据的逻辑损坏,则使用软件方式和手工方式相结合的方法恢复系统。这种结合方式构成了对系统的多级防护,不仅能够有效地防止物理损坏,还能够彻底防止逻辑损坏。良好的备份和恢复机制,可以在攻击造成损失时,帮助系统尽快地恢复数据和系统服务。
三、结束语
信息化和网络化是当今世界经济与社会发展的大趋势,也是推进我国国民经济发展和社会现代化的关键环节。而计算机网络安全也是一个综合性的复杂问题,它不可能单靠某项技术或某项制度解决,所以应该综合各项网络安全技术、法律、管理等多项措施,齐头并进,才能得到圆满的解决。
参考文献:
[1]殷伟.计算机安全与病毒防治[M].合肥:安徽科学技术出版社,2004
[2]陈爱民.计算机的安全与保密[M].北京:电子工业出版社,2002
[3]徐超汉.计算机网络安全与数据完整性技术[M].北京:电子工业出版社,2005
篇9
一。如何认识以计算机及网络技术为基础的检察信息系统
目前,检察机关不同程度地使用了计算机作为办公或办案的工具,但是应用水平普遍不高,大部分是单项应用,系统的标准化、通用性和易用性都较低,与检察业务联系不紧密、联网功能和保密功能不理想。产生这种情况的一个重要原因是我们对计算机检察信息系统缺乏一个科学、正确和统一的认识。这直接影响了检察机关计算机信息系统的建设工作。究竟什么是计算机检察信息系统,这一点在理论上和实际工作中都没有精确的定义,而检察机关在不断改革发展,计算机技术特别是网络技术也在飞速发展,这一概念的内涵也在随之相应丰富和变化。本人认为,计算机检察信息系统是检察业务系统与以计算机技术为核心的信息技术相结合的产物,是管理科学与系统科学在检察系统中的具体应用。从不同的学科角度来认识计算机检察信息系统会有不同的侧重。
一方面,从检察业务系统的角度看,计算机检察信息系统是采用计算机及网络技术对原有检察业务工作进行的改进、提高和发展,对检察工作相关信息进行收集、加工、处理、存贮、传输、综合分析,以便更加准确、高效、方便地服务于检察工作。是用信息科学和管理科学的方法对现有检察工作流程及机构设置进行科学分析,并在此基础上建立的一套计算机辅助系统。计算机检察信息系统绝不仅仅是有几台电脑处理一般文书或者建立一个局域网就做到的。目前很多检察机关对计算机检察信息系统的认识仍停留在非常肤浅的水平上,对现有检察业务没有形成系统科学的认识,只注重业务工作的具体事务,不注重从信息科学的角度分析问题。事实上,检察机关作为国家法律监督部门,其职能的实现不仅具有严格的法律程序和很强的政策性,而且检察机关内部与外部的信息流转具有内在的规定性,具有一般信息系统的基本特点。用系统科学的方法分析计算机检察信息系统是当前检察机关开展计算机应用工作所急需树立的基本观点。对这一问题的种种错误认识直接导致了系统开发工作和应用推广工作的困难。比如有的单位领导虽然很重视计算机应用工作,但往往直接要求技术部门实现某一具体的功能,而没有系统的规划,结果不仅应用成果难以联网,而且标准化和规范化都很低,甚至存在严重的安全隐患。有的同志甚至把办公自动化与检察信息系统相混淆。一般认为,广义的办公自动化系统包含计算机检察信息系统,检察信息系统是办公自动化系统的一个子系统;狭义的办公自动化系统仅指以文书处理为核心的办文系统。
本人认为,计算机检察信息系统的内容包括与检察机关相关的办公及业务处理的全过程,具体包括案件管理、文书处理、人事管理、设备管理、档案管理、行政财务管理等子系统,各子系统均具有统计、检索、共享、联网等功能特性。其中案件管理子系统是核心内容,与其他子系统有机联系。根据检察工作的发展情况,还应逐步增加预防信息管理系统。检察业务是计算机检察信息系统的核心,计算机只是工具,过分依赖技术设备或者轻视技术手段的看法都是不可取的。只有用系统的观点认识计算机检察信息系统,才能从根本上改变以往检察机关开展计算机及网络应用工作的被动局面,彻底跳出不断开发不断否定以及重硬件不重软件、硬件不断更新却一直不够用、软件不停开发却一直不好用的怪圈。
检察机关的工作具有严格的法律程序,具有信息处理的连续性、网络性、保密性等特点。机构设置在相对稳定的同时也在不断改革发展之中。只有用系统科学和管理科学的方法认识检察工作,才能有效建立高效灵活适应变化的计算机检察信息系统。对现有检察工作特别是业务工作进行科学抽象、综合分析,是正确理解计算机检察信息系统的前提。由于对检察工作缺乏系统科学和管理科学以及信息科学方面的认识,所以我们在建立计算机检察信息系统时会不自觉地把这项工作简单地认为是使用计算机的几项功能,从而造成计算机应用工作难以形成系统化、网络化,甚至造成局部效率提高了,整体效率反而降低的结果。
另一方面,从计算机及网络技术的角度看,计算机检察信息系统是以计算机技术为核心的信息技术在检察工作中的具体应用。
利用计算机进行信息处理是计算机的重要应用方面,随着网络技术的飞速发展,网络化已经成为计算机信息系统的基本特征。计算机及网络技术的广泛应用,正在深刻影响着社会生活的各个方面。计算机及网络技术的功能早已超出了数值计算、控制、设计等传统应用领域,与各行业的结合使得传统行业的运转模式发生深刻的变化。计算机及网络技术在检察机关的应用,不仅是发挥一般性的文字处理功能,更重要的是发挥出计算机及网络技术的自动化、网络化、智能化等功能。计算机检察信息系统是综合了软件工程、数据库、局域网与广域网、信息安全技术、多媒体技术等多种技术而在检察工作中的系统化应用,是计算机应用技术的新领域,检察工作的特点直接影响着计算机应用技术的具体实现。检察机关具有不同于其他部门的特点,工作具有法定的程序,不仅系统信息具有很强的保密要求,而且系统内部的实现过程甚至开发过程都有很强的保密要求,这在开展计算机应用工作时,对计算机应用开发人员提出了新的要求。所以在系统开发时,对各开发阶段的管理控制具有其特殊性。从计算机及网络技术的角度正确认识计算机检察信息系统对于成功地建立计算机检察信息系统是致关重要的。
二。如何开发计算机检察信息系统
开发计算机检察信息系统的工作涉及面很广,是一项复杂的系统工程。这里主要就当前普遍存在的几个突出问题进行分析:
1.正确认识,科学规划。对计算机检察信息系统的内容和特点要有正确全面的认识,不仅检察机关的领导和技术部门要有正确认识,广大干警也要对计算机检察信息系统有充分的认识。对建立计算机检察信息系统后,检察工作的新情况新要求要有足够的准备。
对计算机检察信息系统既要长远规划,又要具有动态性,用发展的眼光辩证地对待规划。一个好的规划对顺利建立和运用计算机检察信息系统有着长远的影响。规划工作包括系统建设的各个方面,对将来可能发生的变化要有足够的适应性。要避免因检察机关的人员调整而影响系统建设。建设计算机检察信息系统不仅是一个技术性的工作,这项工作在一定程度上反映出检察工作的政策倾向。应尽量减少因个人喜好对规划工作的影响。
对于计算机检察信息系统的建设周期,要统筹规划,既与正常的检察工作相适应,又要立足长远,避免短期行为。
2.重在应用。这是检验计算机检察信息系统质量的唯一标准,要避免过份强调技术的先进性,也要避免不尊重技术的倾向或者形式化的建设。技术工作不是形象工程,也不是门面工作。计算机检察信息系统的效果最终要通过实际应用来检验。检察机关广大干警对检察业务很熟,但对技术系统的运用能力相对较弱。是否易用、实用在很大程度上影响系统的实施和推广。技术人员对此要有足够的认识,避免单纯从技术的观点处理问题。
3.经济适中,适当超前。计算机检察信息系统是一项投资较大的系统工程。包括硬件费用、软件费用、网络费用、管理及培训费用。不仅有建设费用,而且有运行费用及维护费用。检察机关经费普遍比较紧张,不可能只选择最先进的设备及开发运行方式,另一方面,计算机及网络技术飞速发展,检察工作也在不断改革,也没有必要设想建立一个一劳永逸的系统。条件好的单位可以尽量选择生命周期长的硬件、软件及运行方式。运行方式要尽量超前,但设备配置要逐步增加。根据信息技术的发展规律,硬件每半年就出现一代新产品,同时价格在不断下降。所以在选型上要适当超前,配备时分步实施。
4.合理组织和管理开发队伍。计算机检察信息系统的开发涉及到检察工作的方方面面以及计算机技术的多个领域,根据检察机关的实际情况,基层检察院最好由检察长全面负责计算机检察信息系统的建设工作,以便在重大问题上协调、把关、及时决策。由检察机关各职能部门的业务骨干、技术部门的专业人员、专业开发单位的人员共同组成开发组。各类人员既有侧重,又相互配合。其中参与开发的检察干警和技术人员可以由区级检察院和市级检察院共同组成。
不能把技术部门变成软件开发部门,尽管有些基层检察院具有相当强的开发实力,但完全由检察系统内部的技术人员开发存在一系列问题,技术断升级、人员培训及系统维护等都是专业性系统性的工作,如果完全由技术部门进行开发,技术人员的精力及主要工作重点将发生变化,出现其他一系列问题。目前一些条件好的检察院已经逐步把检察机关部分后勤服务等工作交由社会化服务机构进行,以便使检察干警更好地履行法律监督职能及其他检察工作。检察技术部门也应在职能定位上逐步达到有关法律要求,不能把检察技术部门当成单纯的技术开发部门。
发挥技术与检察业务两用人才的作用是成功的关键,要让他们参加全部开发过程的工作。目前有相当一部分基层检察院的技术部门领导只懂法律知识、不懂技术知识,不能以行政职务级别的高低当作技术水平的高低。破除权威迷信,不懂技术的同志更容易迷信权威,这些现象现在在机关单位仍相当普遍。要充分发挥技术与检察业务两用人才的积极性、主动性和创造性。技术与检察业务两用人才不是检察业务人员学习一点计算机知识或者计算机技术人员知道一些法律知识就够的,而是要精通检察业务的同时精通计算机及网络技术。开发系统不同于对系统的简单使用,要具备专业水准和开拓创新能力才行。不仅要懂技术理论和检察理论,更要懂检察实务和计算机应用技术。技术与检察业务两用人才是检察机关的保贵财富,一定要充分发挥他们的作用,人尽其才。
在是否聘请专业开发单位的问题上,一直存在几种不同的看法。我认为,各单位的情况不同,不能一概而论。只要能够组成上面所述的开发组就可以。至于聘请专业开发单位是否就一定有技术保证、一定会带来保密、后续服务等问题,这些都要具体分析。各种开发人员的构成方式都存在优缺点,关键是要树立系统科学的观点,对开发工作采取正确的管理方法,而不要在具体形式上过分纠缠。
有人认为直接购买商品化的软件系统是最简便高效的方式,我认为这种看法并不正确。一方面,基层检察院的机购设置与职能划分不尽一致,商品化的软件系统在具有通用性的同时必然缺少针对性,甚至好看不适用。另一方面,软件只是计算机检察信息系统的一部分内容,计算机检察信息系统不仅包括软件,还包括硬件、网络、相应的管理制度、人员配备、与上下级的联网等内容。商品化的软件系统可以作为局部子系统,但不能代替整个计算机检察信息系统的建设工作。比如可以适当选用阅文系统软件,人事管理软件。要注意现成商品化软件与整个系统的接口问题、数据一致性与数据冗余问题,在网络环境下,还要特别注意对软件系统进行安全性检验。如何有效检验目标程序在网络环境中的安全性是目前计算机安全领域的一项新课题。直接购买商品化的软件系统在一定时期内或某个具体应用项目上是可行的,但不能过分依赖商品化软件系统。事实上,我们只有在财务系统等少数几项标准化较强的领域较好地发挥了商品化的软件系统的作用。
5.严格遵循软件工程的方法
在软件开发阶段要严格遵循软件工程的方法。按照软件生存周期各阶段的要求进行工作。经过系统分析、软件项目计划、需求分析、软件设计、编码、软件测试和软件维护几个步骤。不论系统规模的大小,都应在开发建设过程中严格遵循软件工程的方法,这不仅有利于开发工作,更有利于维护升级工作和系统文档管理,既可以有效保证系统质量,还能减低因人员变动、环境变化引起的系统改变的工作量。
6.系统培训。开发完成的计算机检察信息系统要想充分发挥作用,有赖于广大干警的熟练运用。培训工作同样要有系统的规划,采取循序渐进的方式,根据干警的不同情况分别进行培训。计算机检察信息系统是一个动态变化中的系统,这决定了培训工作是一项长期的工作。计算机检察信息系统不是临时性的一次性的工作,而是对现有检察工作的系统化改进与提高,那种临时应付的想法是不能适应形势发展的要求的。技术培训工作同其他方面的培训工作一样,是检察机关干警必须进行的一项学习提高工作。随着信息社会的到来,我们必须对此有足够的重视。
篇10
[关键词] 计算机;校园网;网络安全;防火墙
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 12. 056
[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194(2014)12- 0088- 04
0 引 言
计算机网络技术依靠其高度发达的发展技术,在国民经济各行业中均发挥着重要作用,目前,计算机网络技术已经广泛应用在政府机构、金融机构、军事指挥和控制系统、教育事业中,极大程度上提升了各单位的生产经营效率,在某种意义上,计算机网络系统给人们的生活、工作、学习都带了极大便利,构建了一个共享、高效、智能的平台。但是,不能忽视计算机网络技术的弊端,由于自身建设因素、程序设定因素和操作失误等诸多因素的存在,计算机网络技术不可避免地离不开病毒和漏洞,给一些别有用心之人以可乘之机,计算机网络技术的弊端轻则给企事业单位的保密信息带来安全风险,重则使国家的机密文件彻底损毁或丢失、个人的重要信息被窃取,造成不可估量的经济损失[1]。近年来,我国大中小学的校园里都基本普及了校园网络,给学校的教学活动和多媒体教学创造了便利条件,提高了校园教学效率,但网络的脆弱性和不安全性也给校园网络的应用带来了不利影响。
世界上没有一种事物是唯一的,防火墙也一样,为了更有效率地对付网络上各种不同攻击手段,防火墙也派分出几种防御架构。根据物理特性,防火墙分为两大类,硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序,它是以逻辑形式存在的,防火墙程序跟随系统启动,通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间,形成一种逻辑上的防御体系。
在没有软件防火墙之前,系统和网络接口设备之间的通道是直接的,网络接口设备通过网络驱动程序接口(Network Driver Interface Specification,NDIS)把网络上传来的各种报文都忠实地交给系统处理,例如一台计算机接收到请求列出机器上所有共享资源的数据报文, NDIS直接把这个报文提交给系统,系统在处理后就会返回相应数据,在某些情况下就会造成信息泄漏。而使用软件防火墙后,尽管NDIS接收到的仍然是原封不动的数据报文,但是在提交到系统的通道上多了一层防御机制,所有数据报文都要经过这层机制根据一定的规则判断处理,只有它认为安全的数据才能到达系统,其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”,因此在防火墙的判断下,这个报文会被丢弃,这样一来,系统接收不到报文,则认为什么事情也没发生过,也就不会把信息泄露出去了。
软件防火墙工作于系统接口与NDIS之间,用于检查过滤由NDIS发送过来的数据,在无需改动硬件的前提下便能实现一定强度的安全保障,但是由于软件防火墙自身属于运行于系统上的程序,不可避免地需要占用一部分CPU资源维持工作,而且由于数据判断处理需要一定的时间,在一些数据流量大的网络里,软件防火墙会使整个系统工作效率和数据吞吐速度下降,甚至有些软件防火墙会存在漏洞,导致有害数据可以绕过它的防御体系,给数据安全带来损失,因此,许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施,而是使用看得见摸得着的硬件防火墙。
硬件防火墙是一种以物理形式存在的专用设备,通常架设于两个网络的驳接处,直接从网络设备上检查过滤有害的数据报文,位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据,不必另外分出CPU资源去进行基于软件架构的NDIS数据检测,可以大大提高工作效率。
硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备,这里又另外派分出两种结构,一种是普通硬件级别防火墙,它拥有标准计算机的硬件平台和一些功能经过简化处理的UNIX系列操作系统和防火墙软件,这种防火墙措施相当于专门拿出一台计算机安装了软件防火墙,除了不需要处理其他事务以外,它毕竟还是一般的操作系统,因此有可能会存在漏洞和不稳定因素,安全性并不能做到最好;另一种是所谓的“芯片”级硬件防火墙,它采用专门设计的硬件平台,在上面搭建的软件也是专门开发的,并非流行的操作系统,因而可以达到较好的安全性能保障。但无论是哪种硬件防火墙,管理员都可以通过计算机连接上去设置工作参数。由于硬件防火墙的主要作用是把传入的数据报文进行过滤处理后转发到位于防火墙后面的网络中,因此它自身的硬件规格也是分档次的,尽管硬件防火墙已经足以实现比较高的信息处理效率,但是在一些对数据吞吐量要求很高的网络里,档次低的防火墙仍然会形成瓶颈,所以对于一些大企业而言,芯片级的硬件防火墙才是他们的首选。
1 安全漏洞和病毒入侵给校园网络带来的安全隐患
网络的安全漏洞通常指计算机系统中存在的可能导致计算机被别有用心的人入侵或攻击的缺陷,同时安全漏洞也是可能因为网络信息交换的过程中导致信息泄露等威胁的可能性。计算机软件安全漏洞的存在,主要因为计算机软件的设计、编写或研发人员在研究开发计算机软件时,由于考虑不周或设计失误,导致软件或系统中存在弱点或漏洞,这些漏洞可能被黑客或病毒利用,成为入侵或攻击的路径。计算机软件的漏洞通常分为功能缺陷和安全漏洞。计算机软件的功能性缺陷通常会对计算机的软件运行和软件功能的实现产生一定影响。而安全漏洞通常情况下对计算机系统或软件的运行与软件功能不产生影响,但这些漏洞有被黑客利用的可能性,一旦被黑客利用,它造成的危害更大,可能会造成校园网络系统瘫痪或网络中自行执行恶意代码、中病毒,严重情况下可能会被黑客窃取计算机中或通信中的机密。
病毒入侵是利用病毒的自我复制特点对网络系统进行破坏和侵袭,窃取数据,破坏数据完整性和系统是正常服务功能,病毒入侵的突出特征变现为隐蔽性、传播性、繁殖性、潜伏性与寄生性。计算机病毒入侵是计算机网络中常见的信息被侵害的方式,利用病毒入侵技术可以通过对外部和内部攻击的入侵,从而获取入侵的信息和资料。病毒入侵是对校园网的网络系统漏洞、服务和管理权限进行探测,然后利用一定的工具和网络协议对网络中用户的各种信息进行获取与收集整理,同时发现系统中存在的漏洞,从而突破系统的网络安全防范措施。病毒入侵可能导致校园网络瘫痪,甚至可能导致校园网络终端中的计算机、多媒体设备损坏,此外病毒入侵可能使校园网被黑客利用后获取学生或教师的基本信息,产生信息泄露的隐患。校园网络中的考试信息等可能被黑客利用,从而导致试题泄露,被黑客利用成为其揽财的手段。
2 防火墙技术对校园网络安全提升的策略
2.1 在校园网络中构建有效的防入侵防火墙
防火墙又叫安全防火墙,是应对计算机网络中的病毒入侵最广泛的防范对策。防火墙在普通用户和企业终端中应用十分广泛,它能够有效防止一般、常见计算机病毒对系统的入侵和损坏,能够有效保证系统的安全性能。防火墙作为隔离网络、划分网络区域的有效保证计算机网络安全的应对措施,通过定制不同的区域访问策略控制不同区域间的数据流,从而提高网络的安全性能。防火墙入侵是一种较难的入侵方式,但是一旦实现入侵,用户所遭受的损失也是最大的,可以造成用户的系统瘫痪,甚至崩溃,损失不可估量。在我们通常使用的互联网中,有些区域是可以信任的,有一些区域是不可信任的,通过区分高度信任区域和不可信任区域,能够有效避免安全隐患较高的网络通信,从而能够有效保护网络信息安全[2]。因此在校园网络中构建防火墙是保证校园网中相关信息存储、信息传输安全性的重要保障,应当值得广大学校和校园网网络管理者的重视。
2.2 通过服务器配置方案提高防火墙对校园网的保护
服务器技术是型防火墙技术的核心,通过对内部网络数据包进行防火墙处理后,校园网在整个因特网中运行和数据传输时可以有效隐藏网络内部构架,使黑客或入侵者入侵的难度增加,隐藏型防火墙通常被认为是最安全的防火墙技术。型防火墙通过服务器连接校园网络和因特网,这种网关能够运行计算机软件,从而实现两种网络相互兼容和相互通讯。服务器技术能够很好地隔离内网与外网,使校园网和因特网之间既能有效交流,又能够对校园网的局域网进行合理的保护,不受外部网络的攻击和入侵。服务器作为解决校园网通讯和共享的有效的保护措施,通过合理配置能够极大程度上提高校园网的安全性能,是在校园网络中十分实用和常用的防火墙技术。
2.3 通过防火墙入侵检测技术提高校园网络安全性能
防火墙入侵检测技术又叫IDS,是英文Intrusion Detection System的缩写,是计算机网络应对网络中的非法入侵和黑客攻击的预警和应对系统。计算机网络入侵通常是指入侵者利用已有的计算机程序调试和编写技术,通过网络非法访问未经授权的计算机文件,最终侵入该网络中的非法行为[3]。在校园网中通过防火墙入侵检测是校园网对网络信息安全的必要保证,当前较为先进的防火墙入侵检测技术能够使防火墙与入侵检测形成有机整体,入侵检测发现有恶意入侵后,防火墙迅速加强对网络的保护,使入侵者无计可施,从而避免了校园网受恶意攻击或病毒入侵。
校园网及其信息系统所面临的安全威协既可能来自校园内部,又可能来自校园外部,主要有以下几种情况:“黑客”、数据泄露、IP盗用、病毒攻击、非法站点的访问问题、E-mail问题。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。
针对校园网的各种安全隐患,深入分析产生这些安全问题的根源以及随时出现的网络安全需求,通过采取相应的网络安全策略,将安全技术与教育管理结合起来,就可以建成一个安全、通用、高效的校园网络系统。
3 校园网安全监测
在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击、外部攻击和误操作的实时保护。
3.1 采用入侵检测系统
在校园网中构架成一套完整立体的主动防御体系,需要同时采用基于网络和基于主机的入侵检测系统。
首先,在校园网比较重要的网段中放置基于网络的入侵检测产品,不停地监视网段中的各种数据包,如果数据包与入侵检测系统中的某些规则吻合,就会发出警报或者直接切断网络的连接。
其次,在重要的主机上(如WWW服务器,E-mail服务器,FTP服务器)安装基于主机的入侵检测系统,对该主机的网络实时连接以及系统审计日志进行智能分析和判断,如果其中主体活动十分可疑,入侵检测系统就会采取相应措施。
3.2 Web、E-mail、BBS的安全监测系统
在校园网的WWW服务器、E-mail服务器中使用网络安全监测系统,实时跟踪、监视网络,截获Internet上传输的内容,并将其还原成完整的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,并向上级安全网管中心报告。
一般可以采取如下方法:用一台PC机连接在网络的关键网段上,修改网卡的接收方式,这样就能接收到这个网段上传输的所有信息,而且对原有网络的传输性能没有影响。系统基本上通过两部分组成: 一部分为监控器,主要负责如实地记录网络上的传输数据,并将其保存为硬盘上的文件,交给第二部分后台分析处理; 第二部分为后台分析器,负责对前台监控器记录下的数据进行处理,将前台监控器截获的数据拼装、还原成应用层的完整内容,然后在数据库中添加相应的记录。监控器可以采用一台装有两块网卡的PC机,采用Linux操作系统。分析器可以由一台安装了Win 2000的PC机承担,运用SQL Server等软件。这样就可以对进入网内的各种信息进行检测,并对邮件中的病毒进行检测,从而阻止病毒进入局域网。
3.3 漏洞扫描系统
解决网络层安全问题的方法是,寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式,最大可能地弥补最新的安全漏洞并消除安全隐患。
3.4 IP盗用问题的解决
在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行,否则禁行,同时给发出这个IP广播包的工作站返回一个警告信息。
3.5 利用网络监听维护子网系统安全
要解决校园网内部的侵袭问题,可以对各个子网做一个审计文件,为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序,其主要功能是长期监听子网络内计算机间相互联系的情况,为系统中各个服务器的审计文件提供备份。
4 配置安全的系统服务器平台
安全的系统服务器是网络安全的基点,利用系统本地安全策略构建一个相对安全的防护林对于校园网来说至关重要。
4.1 设置禁用,构建第一道防线
Win 2000即使是装上了最新的系统补丁,但在Internet的任何一台PC上只要输入“\\IP地址\c■”,然后输入用户名Guest,密码空,该机器的C盘就完全暴露了。解决的方法是禁用Guest账号,为Administrator设置一个安全的密码,将各驱动器的共享设为不共享。同时关闭不需要的服务。在管理工具的服务中将它们设置为禁用,一般可以禁用的服务有Telnet、Task Scheduler(允许程序在指定时间运行)、Remote Registry Service(允许远程注册表操作)等。
4.2 设置IIS,构建第二道防线
通过简单的设置,完全可以弥补校园网服务器的IIS漏洞。首先将IIS默认的服务都停止,然后再新建一个Web站点。设置好常规内容后,在“属性主目录”的配置中对应用程序映射进行设置,删除不需要的映射,这些映射是IIS受到攻击的直接原因。
4.3 运用扫描程序,堵住安全漏洞
要做到全面解决安全问题,需要扫描程序的帮助。扫描完成后,要看一下,是否存在口令漏洞,若存在,则马上修改口令设置;再看一下是否存在IIS漏洞,若存在,须检查IIS的设置。
4.4 封锁端口,全面构建防线
黑客大多通过端口进行入侵,所以关闭那些不用的端口,完全可以阻止入侵者的攻击。
首先,通过“管理工具本地安全策略”进入,右击“IP安全策略――属性”,创建一个安全策略。
接着,右击“IP安全策略――属性”,进入管理IP筛选器和筛选器操作,在管理IP筛选器列表中,添加要封锁的端口,这里以关闭ICMP端口为例说明。关闭ICMP的具体操作如下:点“添加”,然后在名称中输入“关闭ICMP”,点右边的“添加”;在源地址中选“任何IP地址”;在目标地址中选择“我的IP地址”;在协议中选择“ICMP”。
然后,进入设置管理筛选器操作,点“添加”,在名称中输入“拒绝”。选择“阻止”关闭该属性页,右击新建的IP安全策略,打开属性页。在规则中选择“添加”,选择“此规则不指定隧道”,在选择网络类型中选择“所有网络连接”,在IP筛选器列表中选择“关闭ICMP”,在筛选器操作中选择“拒绝”。这样就将“关闭ICMP”的筛选器加入到名为“安全”的IP安全策略中。
5 校园网的访问控制策略
针对校园网络系统的安全威胁,必须建立整体的、卓有成效的安全策略,尤其是在访问控制的管理与技术方面需要制定相应的策略,以保护系统内的各种资源不遭到自然与人为的破坏,维护校园网的安全。
5.1 建立并严格执行规章制度
规章制度作为一项核心内容,应始终贯穿于系统的安全生命周期。校园网络的安全管理制度应包括:确定安全管理等级和安全管理范围,制定有关网络操作使用规程和人员出入机房管理制度,制定网络系统的维护制度和应急措施等。任何规章制度的意义都在于实施,严格执行安全管理制度是网络可靠运行的重要保障。
5.2 身份验证
身份验证技术可用于判断对象身份的真实性,是校园网上信息安全的第一道屏障。除校园卡外,校园网上的身份验证技术主要是口令机制,如各种开机口令、登录口令、共享权限口令等。对这些口令的保护除建立严格的保密机制外,口令的设置方法非常重要。
一般而言,安全的口令有以下特点:
(1)至少7位字符,系统用户一定要用8位字符的口令;
(2)大小写字母混合,把数字无序地插在字母中;
(3)口令中包含“~ !# $ % * ? { } ”等符号;
(4)不使用英语单词,不使用个人信息(如生日、姓名等);
(5)不要在不同系统上使用同一口令。
5.3 病毒防护
校园网络防病毒工作主要包括预防计算机病毒侵入、检测侵入系统的计算机病毒、定位已侵入系统的计算机病毒、防止病毒在系统中的传染、清除系统中已发现的病毒和调查病毒来源。校园网需建立统一集中的病毒防范体系,特别是针对重要的网段和服务器,要进行彻底堵截。
选择合适的网络杀毒软件可以有效地防止病毒在校园网上传播。它应具有以下一些特征:①能够支持所有的主流平台,并实现软件安装、升级、配置的中央管理; ②要能保护校园网所有可能的病毒入口,也就是说要支持所有可能用到的Internet协议及邮件系统;③具有较强的防护功能,可以对数据、程序进行有效的保护。
5.4 防火墙技术
防火墙在校园网与Internet之间执行访问控制策略,决定哪些内部站点允许外界访问和允许访问外界,从而保护内部网免受非法用户的入侵。
5.4.1 防火墙设置原则
目前,防火墙主要有如下几类: ①包过滤型防火墙,这类防火墙是必须的,尤其是对于使用静态IP地址的校园网;②应用型防火墙,对用户身份进行鉴别,并提供比较详细的日志和审计信息;③复合型防火墙,即前两类的结合。
建立合理有效的安全过滤原则对网络数据包的协议、端口、源/目的地址、流向进行审核,严格控制外网用户非法访问。对校园网用户进行流量控制,依据时间安全规则变化策略,控制内网用户访问外网时间。定期查看防火墙访问日志,对防火墙的管理员权限严格控制。
5.4.2 选择与配置安全有效的应用层防火墙
网络管理员要在安全机制需要和系统的易用性方面做出平衡,一般可以采用如下的防火墙配置方案。
在系统中使用两个包过滤防火墙,在内部网络和外界Internet之间隔离出一个受屏蔽的子网,包括服务器、E-mail服务器、各种信息服务器(包括Web服务器、FTP服务器等)等。
在外部路由器上设置一个包过滤防火墙,它只让与屏蔽子网中的服务器、E-mail服务器、信息服务器有关的数据包通过,其他所有类型的数据包都被丢弃,从而把外界Internet对屏蔽子网的访问限制在特定的服务器的范围内。
防火墙在很多方面存在弱点,要警惕来自防火墙的缺陷,防火墙擅长于保护设备,而不擅长保护数据, 防火墙不是解决所有网络安全问题的灵丹妙药,一般有70%的攻击是来自校园网的内部,防火墙对此束手无策。
5.5 应急处理和数据备份
应急响应是校园网整体安全构架中不可分割的重要组成部分。校园网络管理中心在发现新病毒或因系统安全漏洞威胁网络安全时,应及时向用户发出安全通告,并提供各种补丁程序以便下载。
数据是整个网络的核心,做一套完整的数据备份和恢复措施是校园网迫切需要的。对易受到攻击的Web服务器,配置网站监控与恢复系统,一旦主页被篡改,能够及时恢复。针对网络安全而言,备份既包括网络通信参数、配置的备份,又包括设备和线路的备份。网络中心应定期将重要数据打包,并将副本存放在专用的服务器中,还可采用RAID技术对重要磁盘做镜像。
5.6 运用VLAN技术
采用交换式局域网技术(ATM或以太交换)的校园网络,可以运用VLAN技术来加强内部网络管理。VLAN技术的核心是网络分段,网络分段可分为物理分段和逻辑分段两种方式。在实际应用过程中,通常采用二者相结合的方法。
5.7 遵循“最小授权”原则和采用“信息加密”技术
从网络安全的角度考虑问题,打开的服务越多,可能出现的安全漏洞就会越多。“最小授权”原则是指网络中的账号设置、服务配置、主机间信任关系配置等都应为网络正常运行所需的最小限度,这可以将系统的危险性大大降低。如:关闭网络安全策略中没有定义的网络服务,将用户的权限配置为策略定义的最小限度,及时删除不必要的账号等。
“信息加密“是包括算法、协议、管理在内的庞大体系,加密算法是基础,密码协议是关键,密钥管理是保障。其核心及相关程序,如登录系统、用户管理系统等在可能的情况下应自行开发。 5.8 用户教育
加强对校园网用户的安全意识教育和安全技术培训,提高遵守相关的安全制度的自觉性,增强整体安全防范能力。对于非法访问和黑客攻击事件,一旦发现要严肃处理。
加强对校园网安全技术和管理人员的培训,使他们从技术上提高应对各种攻击的能力。培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。
6 结 语
总之,在网络信息时代,校园网络的安全是学校教学质量的重要保证,防火墙技术作为最常用、最实用的网络安全保障,在保护效益网络安全中起到十分重要的作用。在构建校园网络系统和管理校园网络系统时,应当充分认识到校园网络安全性的重要性,要科学合理地利用防火墙技术提高校园网络的安全。
主要参考文献
[1]阎慧,王伟.防火墙原理与技术[M].北京:机械工业出版社,2010.
